WinRAR yazılımında yakın zamanda açıklanan bir güvenlik kusurunu sıfır gün olarak kullanan bir bilgisayar korsanlığı grubu, artık tamamen yeni bir gelişmiş kalıcı tehdit (APT) olarak kategorize edildi.
Siber güvenlik şirketi NSFOCUS açıkladı DarkCasino ilk kez 2021’de ortaya çıkan “ekonomik motivasyonlu” bir aktör olarak.
Şirket, “DarkCasino, güçlü teknik ve öğrenme yeteneğine sahip, çeşitli popüler APT saldırı teknolojilerini saldırı sürecine entegre etme konusunda başarılı bir APT tehdit aktörüdür” dedi. söz konusu bir analizde.
“APT grubu DarkCasino tarafından başlatılan saldırılar çok sık oluyor ve çevrimiçi mülkleri çalmaya yönelik güçlü bir isteği gösteriyor.”
DarkCasino en son, kötü amaçlı yükleri başlatmak için silah olarak kullanılabilecek bir güvenlik açığı olan CVE-2023-38831’in (CVSS puanı: 7,8) sıfırıncı gün istismarıyla ilişkilendirilmişti.
Ağustos 2023’te Group-IB, güvenlik açığını silahlandıran gerçek dünya saldırılarını açıkladı ve DarkCasino’ya atfedilen bir Visual Basic truva atı olan DarkMe adlı son bir yükü sunmak için en azından Nisan 2023’ten bu yana çevrimiçi ticaret forumlarını hedef aldı.
Kötü amaçlı yazılım, ana bilgisayar bilgilerini toplayacak, ekran görüntüleri alacak, dosyaları ve Windows Kayıt Defterini değiştirecek, rastgele komutlar yürütecek ve ele geçirilen ana bilgisayarda kendini güncelleyecek donanıma sahiptir.
DarkCasino daha önce EvilNum grubu tarafından Avrupa ve Asya’daki çevrimiçi kumar, kripto para ve kredi platformlarını hedef alan bir kimlik avı kampanyası olarak sınıflandırılmış olsa da NSFOCUS, düşmanın faaliyetlerini sürekli takip etmesinin, bilinen tehdit aktörleriyle olası bağlantıları ortadan kaldırmasına olanak sağladığını söyledi.
Tehdit aktörünün kesin kaynağı şu anda bilinmiyor.
“İlk günlerde DarkCasino, çoğunlukla Akdeniz çevresindeki ülkelerde ve diğer Asya ülkelerinde çevrimiçi finansal hizmetleri kullanarak faaliyet gösteriyordu” dedi.
“Son zamanlarda, kimlik avı yöntemlerinin değişmesiyle birlikte saldırıları, Güney Kore ve Vietnam gibi İngilizce konuşulmayan Asya ülkeleri de dahil olmak üzere dünya çapındaki kripto para kullanıcılarına ulaştı.”
Son aylarda APT28, APT40, Dark Pink, Ghostwriter, Konni ve Sandworm dahil olmak üzere çok sayıda tehdit aktörü CVE-2023-38831’in sömürülmesine katıldı.
Ghostwriter’ın bu eksiklikten yararlanan saldırı zincirlerinin, diğer yükler için yükleyici görevi gören orta düzey bir kötü amaçlı yazılım olan PicassoLoader’ın önünü açtığı gözlemlendi.
NSFOCUS, “APT grubu DarkCasino’nun getirdiği WinRAR güvenlik açığı CVE-2023-38831, 2023’ün ikinci yarısında APT saldırı durumuna belirsizlikler getiriyor.” dedi.
“Birçok APT grubu, hedeflerin koruma sistemini atlatmayı ve amaçlarına ulaşmayı umarak hükümetler gibi kritik hedeflere saldırmak için bu güvenlik açığının pencere döneminden yararlandı.”